Vlákno názorů k článku
Repozitář Microsoftu byl potichu přidán do systému Raspberry Pi OS
od klokan - Tohle mi přijde jako naprosto zbytečná a hysterická...
-
Tohle mi přijde jako naprosto zbytečná a hysterická reakce, která neprospívá ani reputaci RPi komunity, ani FOSS komunity jako takové. Primárním určením Raspberry Pi je a vždycky byla výuka programování a Rasperry Pi OS je právě oním specializovaným instalačním obrazem. Že řada lidí tyhle počítače využívá i k jiným věcem je jenom vedlejší efekt jejich popularity a koncepce. Je tím pádem spíš právě na těchto uživatelích, aby si instalace přizpůsobili jejich potřebám, a ne, aby fňukali, že Nadace to nedělá ausgerechnet podle jejich představ. Nemluvně o tom, že člověk sotva najde dva takové uživatele, jejichž potřeby a představy o tom, co do instalace patří, budou stejné.
Že se MS touto cesto automaticky dozví o všech uživatelích RPi, prosím, to je dejme tomu jistá realita, jenže pokud by to MS zajímalo, tak tohle k tomu ani tak moc nepotřebuje. Dřiv se lidi předháněli v tom, kdo se dřív zaregistruje na Rastrack, a spousta lidí si sama přidává další repozitáře třetích stran. Jakákoli distribuce je na tom úplně stejně. Nevím o tom, že např. Debian, Arch nebo samotná RPi Foundation by nabízely kdovíjaké garance, že informace o přístupu k repozitářům budou držet tajné. Mimochodem kolikpak z těch, co se excitují kvůli tomuhle, z identického důvodu na svém RPi v životě nepoužije Google a k Internetu se (pokud vůbec) připojuje výhradně přes TOR? Zřejmě tady někomu jde jenom o to, že tenhle konkrétní repozitář se shodou okolností jmenuje Microsoft...
Snad jediná chyba byla v tom, že to proběhlo "potichu". Kdyby byli vydali oznámení, že od verze XY bude RPi OS ve výchozí instalace používat repozitář Microsoft na VSCode, ověřený klíčem tím a tím, asi by nebylo co jim vytknout. Já to prostě vidím tak, že VSCode je vynikající svobodné vývojové prostředí. Že je k dispozici pro RPi je skvělé, že ho na této platformě podporuje sám vývojář (tj. Microsoft) je ještě lepší a jsem za to rád. Mimochodem pro ty, kterým (jako mně) trochu vadí telemetrie, kterou má VSCode zabudovanou ve výchozí verzi, je na flathubu balík VSCodium, což je VSCode zbavené těchto funkcí.
-
První odstavec - pokud by to bylo systémem opt-in, problém by neexistoval.
Druhý odstavec - pokud si přidám repo, tak to udělám já a nikoliv někdo jiný, jinak řečeno, pokud se někam zaregistruji, něco přidám, je to opt-in -> no problém.
Poslední odstavec - jestli je VSCode vynikající, nebo ne, není podstatné. A telemetrie by měla být automaticky opt-in.
-
Ona ta hysterická reakce dělá hlasitou zpětnou vazbu, které si všichni všimnou, a příště se tomu doufejme zkusí vyvarovat, třeba už jen tím, že to ohlásí měsíc předem. A třeba s odkazem na alternativu VSCodium.
To že někteří se hlásili do Rastrack, přece neznamená že to dělala většina, nebo snad všichni. Mimochodem moje RPi jede odřízlé od internetu.
-
Histericka? Uprime receno, nedivim se a byl bych byl histericky taky.
Jedna vec je neco uzivatelum doporucit a druha vec je jim to natvrdo vnucovat. A ano, tohle je vnucovani. Doporuceni vypada, tak, ze nabidnu odkaz na repositar a kdo ma zajem tak si jej prida. A ne jim ho tam natvrdo narvat, se vsemi dusledky co z toho plynou a pak jeste blbe zvandat o tom, ze si ho klidne muzou odebrat a ze lincuji chudacka Microsoft.
Uz jen zbyva aby tam naskriptovali instalaci vseho toho bordelu od Microsoftu. A ohanet se tim, ze si to prece muzou odinstalovat, ne? Byl by jsi pak spokojen?
Co se to s vami lidi posledni dobou deje?
5. 2. 2021, 14:57 editováno autorem komentáře
-
Co se s vámi lidi děje je univerzální otázka, kterou je možno obrátit proti komukoli. Například: co se to děje s vámi, kdo vám "vnucuje" VSCode, které není ve výchozím stavu instalované? A jak to, že vám nevadí to, že výchozí instalace RPiOS "vnucuje" vi (který je na rozdíl od VSCode instalovaný)? "Vnucuje" python a gcc, ale ne lua a golang - co se to s vámi děje, že vám to nevadí? Ataktdále...
Ale teď vážně: jaké konkrétní důsledky takzvaně plynou z toho, že tam je jeden repozitář navíc, který obsahuje jeden svobodný softwarový produkt?
-
[klokan]
Tobe asi dosud nedoslo ze se tu vubec nejedna o nejaky pitomy VSCode?K tem dusledkum, o necem se uz zmiuje samotna zpravicka. Zajmalo by me, kde zas ty beres tu jistotu co na tom repositari je? A co tem pribude? A jak si to ma uzivatel zkontrolovat, kdyz se mu to neobtezuji vubec oznamit?
Ty duveruhes MS? A koho to sakra zajima, ja jim neverim ani pozdrav. A na mym systemu je podstatny komu duveruji ja.
Uvedomujes si vubec jakou silu ziskava subjekt, ktery si potichu prida svuj vlastni repositar? Jako tobe nevadi ze si do tvyho systemu muze nacpat co se mu zlibi? Me jo. Ty si nechas libit, kdyz si nekdo okopiruje - bez tveho vedomi - klice od tvyho baraku a pak si tam nosi co chce a nastehuje koho chce? Ja to v zadnym pripade.
7. 2. 2021, 19:01 editováno autorem komentáře
-
Věřte si čemu chcete, ale na tom co jsem napsal to nic nemění. Mám pocit, že u vás je bezpečnost dána tím, čemu se rozhodnete věřit a tam to taky končí. Ze všech možných balíčků, které jdou do RPi OS nainstalovat, jste si vybral zrovna vscode s tímhle repositářem. Nezlobte se tedy na mě, když řeknu, že podle mě je vaše kopání okolo spíše póza vůči Microsoftu, než skutečná starost o nějakou bezpečnost.
-
Jenže ono doopravdy jde vážně jenom o ten VSCode. K těm důsledkům, o kterých je v článku řeč, jsem se už vyjádřil výš, lapidárně řečeno to jsou blbosti. Vážně si myslíš, že Microsoft má nějaký eminentní zájem útočit speciálně na hobyisty, kteří se učí programovat na RPi (a zrovna jenom na něm)? A i kdyby, tak než se budeme zabývat tímhle čistě hypotetickým scénářem, co říkáš tomu, že RPi má striktně proprietární a uzavřené firmware, které běží s právy jádra? Jakou má tohle sílu? Tomu věříš, to si necháváš líbit? Když se tolik bojíš toho, co je v repozitáři s VSCode, audituješ si sám, co je v ostatních repozitářích? Co konkrétně obsahují miliony řádků kódu webových prohlížečů, nebo GTK? Jestlipak GCC náhodou neobsahuje zadní vrátka, která tajně přidává do generovaného kódu (takový případ se už taky stal, teda ne s GCC)? Co marketplace na rozšíření do Eclipse? Prostě jsou to všechno čiré a nepodložené spekulace, které jasně motivuje jedině to, že se tam objevilo slovo Microsoft. Mohli by ten repozitář přejmenovat na Santa Claus a bylo by po senzaci.
-
[klokan]
Co to sakra meles ...? No to je jedno, jeste jednou a naposledy :
Ja ti na nejaky VSCode z vysoka kaslu, odjakziva pouzivam Emacs, fakt nepotrebuji nic od Mictosoftu.Ja jakozto admin ma svaty pravo a povinnost rozhodovat a kontrolovat z jakych zdroju se do systemu dostava software. Urcuji kdoo je duveryhodny a kdo ne, a nesu za to taky odpovednost . Je to dokonce zaklad, neceho cemu se rika bezpecnostni politika. Tim, ze si nejaky subjekt vubec dovoli pridat JAKYKOLIV repositar do systemu bez vedomi (a tudiz bez souhlasu) administratora, obchazi bezpecnostni politiku, ziskava misto odkud muze nepozorovane do systemu propasovat cokoliv co se ji zlibi. Tudiz se jedna o jasnou kompromitaci systemu a takova spolecnost se AUTOMATICKY stava neduveryhodnou a jeji produkty nepouzivam, a nemaji co delat v systemu. A je jedno, jestli se bavime MS, nebo treba Novellu. Navic duverihodny partner nejedna za zady a potaji. Pres to nejede vlak!
Vic k tomu neni co dodat a ani to uz nemam v planu.
8. 2. 2021, 06:49 editováno autorem komentáře
-
Takže ještě jednou, ty mudrlante: přidání repozitáře s VSCode je naprosto zanedbatelný detail ve srovnání například s tím, že RPi potřebuje několik blobů. Na rozdíl od nějakého malware šířeného z Microsoftího repozitáře, které až na další existuje jenom v konspiračních teoriích, se tyhle bloby doopravdy instalují a doopravdy fungují s neomezenými právy. Reálné nebezpečí (pokud nějaké hrozí) je odjakživa právě tady. A k tomu, jakou máš "odpovědnost" vůči své hračce doma... nebuď směšný.
-
Naopak je to logické. Firmwarový nebo ovladačový blob je ten nejpřímější a nejmocnější vektor, jak ovládnout nějaký systém. Repozitář od MS momentálně obsahuje naprosto nevinný balík, všechno ostatní jsou čiré spekulace coby kdyby. Naproti tomu na RPi je nevyhnutelně několik blobů (i když pokud vím, na RPi dosud ke zneužití nedošlo), což neznamená, že bezpečnost nemá cenu řešit, ale že ji prostě nelze doopravdy řešit. Jinak řečeno, někdo tady zřejmě má tak silné bezpečnostní požadavky, že repozitář s VSCode (a až na další, ničím jiným) vidí jako hrozbou. Proč v takovém případě používá RPi a ne třeba Talos? Jistě, cena se vůbec nedá srovnat, jenže je nutné být trochu koherentní. Je to jako kdyby v bance měli třímetrovou díru do trezoru přímo z ulice a přitom řešili, co by se proboha stalo, kdyby se z dosud důvěryhodného hlídače najednou stal alkoholik a někde prokecl, kde mají schované klíče.
ČLÁNKY DO MAILU